Examiner les appareils dans Microsoft Defender pour point de terminaison

  • S’applique à: Microsoft Defender for Endpoint Plan 2

Lorsqu’une alerte de sécurité est déclenchée ou qu’une activité suspecte est détectée, l’examen de l’appareil affecté est essentiel pour comprendre l’étendue des menaces potentielles et réduire les risques. Microsoft Defender pour point de terminaison fournit des outils complets pour examiner les appareils, notamment les chronologies des appareils, l’évaluation de l’exposition réseau, les évaluations de sécurité et les actions de réponse.

Cet article décrit le processus d’investigation des appareils et les outils disponibles pour les analystes de sécurité.

Vue d’ensemble de l’examen des appareils

L’examen des appareils dans Microsoft Defender pour point de terminaison suit une approche systématique pour comprendre les menaces de sécurité :

Phase d’investigation Procédure Outils à utiliser
1. Accéder aux détails de l’appareil Accédez à l’appareil à partir de la file d’attente des alertes, de l’inventaire de l’appareil ou de la recherche Inventaire des appareils, file d’attente des alertes, recherche globale
2. Passer en revue la vue d’ensemble de l’appareil Vérifier les alertes actives, les utilisateurs connectés, l’évaluation de la sécurité et l’intégrité des appareils Onglet Vue d’ensemble de l’appareil, Alertes actives carte
3. Analyser chronologie Passer en revue les événements chronologiques, identifier les activités suspectes et corréler les événements Chronologie d’appareil, filtres d’événements, arborescences de processus
4. Examiner les alertes et les incidents Passer en revue les incidents associés, la gravité des alertes et l’état d’investigation Onglet Incidents et alertes
5. Évaluer la posture de sécurité Passer en revue les recommandations de sécurité, les vulnérabilités découvertes et les mises à jour manquantes Recommandations de sécurité, Vulnérabilités découvertes, Bases de connaissances manquantes
6. Vérifier l’exposition du réseau Identifier si l’appareil est accessible sur Internet et passer en revue les connexions externes Balise accessible sur Internet, événements réseau dans chronologie
7. Effectuer des actions de réponse Isoler l’appareil, restreindre l’exécution de l’application, collecter le package d’investigation ou exécuter une analyse antivirus Menu Actions de réponse

Méthodes d’accès à l’investigation des appareils

Vous pouvez accéder aux pages d’investigation des appareils à partir de plusieurs emplacements dans le portail Microsoft Defender :

Lieu Comment accéder à Champs d’utilisation
Inventaire des appareils Accédez à Ressources>Appareils et sélectionnez un appareil Point de départ pour les révisions proactives des appareils ou lorsque vous connaissez le nom de l’appareil
File d’attente des alertes Accédez à Incidents & alertes>Alertes et sélectionnez le nom de l’appareil dans une alerte. Lors de l’examen d’une alerte spécifique et du contexte de l’appareil nécessaire
Incidents Accédez à Incidents & alertes> Incidents, sélectionnez un incident, puis sélectionnez un appareil dans le graphique desincidents. Pendant la réponse aux incidents lorsque plusieurs appareils peuvent être affectés
Recherche globale Utilisez la zone de recherche en haut du portail et sélectionnez Appareil dans la liste déroulante Accès rapide lorsque vous connaissez le nom ou l’adresse IP de l’appareil
Détails du fichier Accédez à une page de détails de fichier et sélectionnez les appareils où le fichier a été observé Lors du suivi des menaces basées sur des fichiers sur plusieurs appareils
Adresse IP ou détails du domaine Accédez à l’adresse IP ou aux détails du domaine, puis sélectionnez les appareils qui ont communiqué avec elle Lors de l’examen des menaces réseau ou des communications C2

Remarque

Dans le cadre du processus d’investigation ou de réponse, vous pouvez collecter un package d’investigation à partir d’un appareil. Voici comment : collecter le package d’investigation à partir d’appareils.

Vue de l’appareil

Remarque

En raison de contraintes de produit, le profil d’appareil ne prend pas en compte toutes les preuves informatiques lors de la détermination de la période de « Dernière vue » (comme indiqué sur la page de l’appareil). Par exemple, la valeur « Dernière vue » dans la page Appareil peut afficher une période plus ancienne, même si des alertes ou des données plus récentes sont disponibles dans le chronologie de l’ordinateur.

Détails sur l'appareil

La section Détails de l’appareil fournit des informations telles que le domaine, le système d’exploitation et l’état d’intégrité de l’appareil. Si un package d’investigation est disponible sur l’appareil, un lien vous permet de télécharger le package.

Actions de réponse

Les actions de réponse s’exécutent en haut d’une page d’appareil spécifique et incluent :

  • Afficher dans la carte
  • Valeur de l’appareil
  • Définir la criticité
  • Gérer des balises
  • Isoler l’appareil
  • Restreindre l’exécution des applications
  • Exécuter une analyse antivirus
  • Collecter un package d’examen
  • Lancer une session de réponse en direct
  • Lancer une investigation automatisée
  • Consulter un spécialiste des menaces
  • Centre de notifications

Vous pouvez effectuer des actions de réponse dans le centre de notifications, dans une page d’appareil spécifique ou dans une page de fichiers spécifique.

Pour plus d’informations sur la façon d’agir sur un appareil, consultez Effectuer une action de réponse sur un appareil.

Pour plus d’informations, consultez Examiner les entités utilisateur.

Remarque

Afficher dans la carte et définir la criticité sont des fonctionnalités de Microsoft Exposure Management, qui est actuellement en préversion publique.

Onglets

Les onglets fournissent des informations pertinentes sur la sécurité et la prévention des menaces liées à l’appareil. Dans chaque onglet, vous pouvez personnaliser les colonnes affichées en sélectionnant Personnaliser les colonnes dans la barre au-dessus des en-têtes de colonne.

Vue d’ensemble

L’onglet Vue d’ensemble affiche les cartes pour les alertes actives, les utilisateurs connectés et l’évaluation de la sécurité.

Onglet Vue d’ensemble de la page de l’appareil

Incidents et alertes

L’onglet Incidents et alertes fournit une liste des incidents et des alertes associés à l’appareil. Cette liste est une version filtrée de la file d’attente Des alertes et affiche une brève description de l’incident, de l’alerte, de la gravité (élevée, moyenne, faible, informationnelle), de status dans la file d’attente (nouveau, en cours, résolu), de la classification (non définie, fausse alerte, vraie alerte), de l’état d’investigation, de la catégorie d’alerte, de la personne qui traite l’alerte et de la dernière activité. Vous pouvez également filtrer les alertes.

Onglet des alertes liées à l’appareil

Lorsqu’une alerte est sélectionnée, un menu volant s’affiche. À partir de ce panneau, vous pouvez gérer l’alerte et afficher plus de détails, tels que le numéro d’incident et les appareils associés. Plusieurs alertes peuvent être sélectionnées à la fois.

Pour afficher une page entière d’une alerte, sélectionnez le titre de l’alerte.

Chronologie

L’onglet Chronologie fournit une vue chronologique des événements et des alertes associées observés sur l’appareil. Pour obtenir une procédure pas à pas détaillée sur les techniques MITRE ATT&CK, l’indicateur d’événements et les arborescences de processus, consultez Examiner les chronologie des appareils.

Recommandations de sécurité

Les recommandations de sécurité sont générées à partir de la fonctionnalité de gestion des vulnérabilités de Microsoft Defender pour point de terminaison. La sélection d’une recommandation affiche un panneau dans lequel vous pouvez afficher des détails pertinents tels que la description de la recommandation et les risques potentiels associés à la non-mise en œuvre. Pour plus d’informations, consultez Recommandation de sécurité .

Gestion de la configuration - Stratégies de sécurité

L’onglet Stratégies de sécurité affiche les stratégies de sécurité de point de terminaison qui sont appliquées sur l’appareil. Vous voyez une liste de stratégies, de type, de status et de la dernière case activée dans le temps. Si vous sélectionnez le nom d’une stratégie, vous accédez à la page des détails de la stratégie où vous pouvez voir les paramètres de stratégie status, les appareils appliqués et les groupes attribués.

Capture d’écran montrant l’onglet Stratégies de sécurité.

Gestion de la configuration - Paramètres effectifs

L’onglet Paramètres effectifs fournit une visibilité sur la valeur réelle de chaque paramètre de sécurité et identifie la source qui l’a configuré. Il répertorie les noms des paramètres, les types de stratégie, les valeurs effectives, la source de chaque valeur effective et l’heure du dernier rapport.

Les sources de configuration peuvent inclure des outils tels que Microsoft Defender pour point de terminaison, stratégie de groupe, Intune ou des paramètres par défaut. Il peut également s’agir de chemins d’accès de Registre spécifiques, tels que les ruches GPM ou stratégie de groupe. Si la source est un emplacement du Registre, le champ Configuré par s’affiche comme Inconnu avec le chemin du Registre.

Sélectionnez un paramètre pour ouvrir un panneau latéral avec plus de détails. Vous voyez la valeur actuelle, toutes les autres tentatives de configuration qui n’ont pas pris effet et, pour les paramètres complexes tels que les règles ASR ou les exclusions AV, une répartition de toutes les règles configurées, de leurs sources et des exclusions éventuelles.

Remarque

Les paramètres présentés sont les paramètres de sécurité AV, les règles de réduction de la surface d’attaque et les exclusions pour les plateformes Windows.

Capture d’écran montrant l’onglet Paramètres effectifs.

Capture d’écran montrant l’onglet de valeur Paramètres effectifs ouvert.

Inventaire de logiciels

L’onglet Inventaire logiciel vous permet d’afficher les logiciels sur l’appareil, ainsi que les faiblesses ou menaces. La sélection du nom du logiciel vous permet d’accéder à la page des détails du logiciel, où vous pouvez afficher les recommandations de sécurité, les vulnérabilités découvertes, les appareils installés et la distribution des versions. Pour plus d’informations, consultez Inventaire logiciel .

Onglet Inventaire logiciel

Vulnérabilités découvertes

L’onglet Vulnérabilités découvertes affiche le nom, la gravité et les insights sur les menaces des vulnérabilités découvertes sur l’appareil. Si vous sélectionnez une vulnérabilité spécifique, une description et des détails s’affichent.

Onglet Vulnérabilités découvertes

Ko manquants

L’onglet Bases de connaissances manquantes répertorie les mises à jour de sécurité manquantes pour l’appareil.

Onglet Ko manquants

Cartes

Alertes actives

Le carte Azure Protection avancée contre les menaces affiche une vue d’ensemble générale des alertes liées à l’appareil et à leur niveau de risque, si vous utilisez la fonctionnalité Microsoft Defender pour Identity et qu’il existe des alertes actives. Vous trouverez plus d’informations dans l’exploration des alertes .

Les alertes actives carte

Remarque

Vous devez activer l’intégration sur Microsoft Defender pour Identity et Defender pour point de terminaison pour utiliser cette fonctionnalité. Dans Defender pour point de terminaison, vous pouvez activer cette fonctionnalité dans les fonctionnalités avancées. Pour plus d’informations sur l’activation des fonctionnalités avancées, consultez Activer les fonctionnalités avancées.

Utilisateurs connectés

Le carte utilisateurs connectés indique le nombre d’utilisateurs connectés au cours des 30 derniers jours, ainsi que les utilisateurs les plus fréquents et les moins fréquents. La sélection du lien Afficher tous les utilisateurs ouvre le volet d’informations, qui affiche des informations telles que le type d’utilisateur, le type de connexion et le moment où l’utilisateur a été vu pour la première et la dernière fois. Pour plus d’informations, consultez Examiner les entités utilisateur.

Volet d’informations de l’utilisateur

Remarque

La valeur utilisateur la plus fréquente est calculée uniquement en fonction des preuves des utilisateurs qui se sont connectés de manière interactive. Toutefois, le volet latéral Tous les utilisateurs calcule toutes sortes de connexions utilisateur, de sorte qu’il est supposé voir des utilisateurs plus fréquents dans le volet latéral, étant donné que ces utilisateurs peuvent ne pas être interactifs.

Tests d’évaluation de la sécurité

Le carte Évaluations de la sécurité indique le niveau d’exposition global, les recommandations de sécurité, les logiciels installés et les vulnérabilités découvertes. Le niveau d’exposition d’un appareil est déterminé par l’impact cumulé de ses recommandations de sécurité en attente.

Les évaluations de sécurité carte

État d’intégrité de l’appareil

Le status d’intégrité de l’appareil carte affiche un rapport d’intégrité résumé pour l’appareil spécifique. L’un des messages suivants s’affiche en haut de la carte pour indiquer la status globale de l’appareil (dans l’ordre de priorité la plus élevée à la plus basse) :

  • Defender Antivirus non actif
  • Le renseignement de sécurité n’est pas à jour
  • Le moteur n’est pas à jour
  • Échec de l’analyse rapide
  • Échec de l’analyse complète
  • La plateforme n’est pas à jour
  • Le status de mise à jour du renseignement de sécurité est inconnu
  • Le status de mise à jour du moteur est inconnu
  • Le status d’analyse rapide est inconnu
  • La status d’analyse complète est inconnue
  • Le status de mise à jour de la plateforme est inconnu
  • L’appareil est à jour
  • État non disponible pour les & Linux macOS

Les autres informations contenues dans le carte incluent : la dernière analyse complète, la dernière analyse rapide, la version de mise à jour du renseignement de sécurité, la version de mise à jour du moteur, la version de mise à jour de la plateforme et le mode Defender Antivirus.

Un cercle gris indique que les données sont inconnues.

Remarque

Le message de status global pour les appareils macOS et Linux s’affiche actuellement sous la forme « État non disponible pour les & Linux macOS ». Actuellement, le résumé status est disponible uniquement pour les appareils Windows. Toutes les autres informations de la table sont à jour pour afficher les états individuels de chaque signal d’intégrité d’appareil pour toutes les plateformes prises en charge.

Pour obtenir une vue détaillée du rapport d’intégrité de l’appareil, vous pouvez accéder à Rapports > Sur l’intégrité des appareils. Pour plus d’informations, consultez Rapport sur l’intégrité et la conformité des appareils dans Microsoft Defender pour point de terminaison.

Remarque

La date et l’heure du mode Defender Antivirus ne sont actuellement pas disponibles.

Le status carte d’intégrité de l’appareil

Examiner les chronologie des appareils

Le chronologie de l’appareil fournit une vue chronologique des événements et des alertes associées observées sur un appareil, ce qui vous aide à examiner les comportements anormaux et les attaques potentielles. Vous pouvez explorer des événements spécifiques, passer en revue les techniques MITRE ATT&CK, utiliser des arborescences de processus et marquer des événements pour le suivi.

Pour accéder à l’appareil chronologie :

  1. Accédez à la page de l’appareil à partir de :
    • Inventaire des appareils (Assets>Devices)
    • Une alerte dans la file d’attente alertes
    • Un incident dans incidents & alertes
  2. Sélectionnez l’onglet Chronologie .

Fonctionnalités chronologie clés

L’appareil chronologie comprend plusieurs fonctionnalités pour vous aider à examiner efficacement les événements :

Fonctionnalité Description Comment utiliser
Sélecteur d’intervalles de temps personnalisé Sélectionner des plages de dates spécifiques pour concentrer votre investigation Sélectionnez le sélecteur de plage de dates en haut de la chronologie
Arborescence de processus Visualiser les relations parent-enfant entre les processus Sélectionner un événement pour ouvrir le panneau latéral avec l’arborescence de processus
Techniques MITRE ATT&CK Afficher toutes les techniques MITRE associées pour les événements Les techniques apparaissent sous forme de texte en gras avec des icônes bleues ; sélectionner pour afficher les détails
Intégration de la page utilisateur Voir les comptes d’utilisateur associés aux événements Sélectionner des noms d’utilisateur dans les événements pour accéder à la page d’investigation de l’utilisateur
Filtres visibles Découvrez les filtres actuellement appliqués à la chronologie Les filtres actifs apparaissent en haut de la chronologie
Indicateur d’événements Marquer les événements importants pour le suivi pendant l’enquête Sélectionnez l’icône d’indicateur en regard d’un événement

Capture d’écran de l’intervalle de temps personnalisé.

Capture d’écran de l’appareil chronologie avec des événements.

Remarque

Pour afficher les événements de pare-feu, vous devez activer la stratégie d’audit, consultez Auditer la connexion à la plateforme de filtrage.

Le pare-feu couvre les événements suivants :

  • 5025 - Service de pare-feu arrêté
  • 5031 - Application bloquée pour accepter les connexions entrantes sur le réseau
  • 5157 - connexion bloquée

Rechercher, filtrer et exporter des événements

  • Rechercher des événements spécifiques : utilisez la barre de recherche pour rechercher des événements chronologie spécifiques.
  • Filtrer les événements à partir d’une date spécifique : sélectionnez l’icône de calendrier dans le coin supérieur gauche du tableau pour afficher les événements du dernier jour, de la semaine, des 30 jours ou de la plage personnalisée. Par défaut, l’appareil chronologie affiche les événements des 30 derniers jours. Utilisez la chronologie pour passer à un moment précis dans le temps en mettant en surbrillance la section . Les flèches sur le chronologie identifient les enquêtes automatisées.
  • Exporter des événements de chronologie d’appareil détaillés : exportez le chronologie de l’appareil pour la date actuelle ou une plage de dates spécifiée jusqu’à sept jours.

Pour plus d’informations sur certains événements, consultez la section Informations supplémentaires . Ces détails varient en fonction du type d’événement, par exemple :

  • Contenu par Application Guard : l’événement de navigateur web a été limité par un conteneur isolé
  • Détection d’une menace active : la détection de la menace s’est produite pendant l’exécution de la menace
  • Échec de la correction : une tentative de correction de la menace détectée a été appelée, mais a échoué
  • Correction réussie : la menace détectée a été arrêtée et nettoyée
  • Avertissement contourné par l’utilisateur : l’avertissement Windows Defender SmartScreen a été ignoré et remplacé par un utilisateur
  • Script suspect détecté : un script potentiellement malveillant a été détecté en cours d’exécution
  • Catégorie d’alerte : si l’événement a conduit à la génération d’une alerte, la catégorie d’alerte (mouvement latéral, par exemple) est fournie

Détails de l'événement

Sélectionnez un événement pour afficher les détails pertinents sur cet événement. Un panneau affiche des informations générales sur les événements. Le cas échéant et que les données sont disponibles, un graphique montrant les entités associées et leurs relations est également affiché.

Pour inspecter plus en détail l’événement et les événements associés, vous pouvez rapidement exécuter une requête de repérage avancée en sélectionnant Rechercher les événements associés. La requête retourne l’événement sélectionné et la liste des autres événements qui se sont produits à peu près au même moment sur le même point de terminaison.

Capture d’écran du panneau détails de l’événement.

MITRE ATT&techniques CK dans l’appareil chronologie

Les techniques sont un type de données supplémentaire dans l’événement chronologie qui fournissent plus d’informations sur les activités associées aux techniques ou sous-techniques MITRE ATT&CK. Cette fonctionnalité simplifie l’expérience d’investigation en aidant les analystes à comprendre les activités observées sur un appareil.

Les techniques sont mises en évidence en gras et apparaissent avec une icône bleue à gauche. L’ID CK et le nom de la technique MITRE ATT correspondants&apparaissent également sous la forme d’étiquettes sous Informations supplémentaires. Les options de recherche et d’exportation sont également disponibles pour les techniques.

Capture d’écran de toutes les techniques MITRE.

Sélectionnez une technique pour ouvrir son volet latéral correspondant. Ici, vous pouvez voir des informations et des insights supplémentaires tels que les techniques, tactiques et descriptions ATT&CK connexes. Sélectionnez la technique d’attaque spécifique pour ouvrir la page de technique ATT&CK associée dans laquelle vous trouverez plus d’informations.

Vous pouvez copier les détails d’une entité lorsque vous voyez une icône bleue sur la droite. Pour instance, pour copier le SHA1 d’un fichier associé, sélectionnez l’icône de page bleue.

Capture d’écran montrant les détails de l’entité de copie.

Capture d’écran montrant les détails du volet latéral.

Vous pouvez faire de même pour les lignes de commande.

Capture d’écran montrant l’option de copie de la ligne de commande.

Pour utiliser la chasse avancée afin de rechercher des événements liés à la technique sélectionnée, sélectionnez Rechercher les événements associés. Cela conduit à la page de repérage avancée avec une requête pour rechercher les événements liés à la technique.

Capture d’écran montrant l’option Rechercher les événements associés.

Remarque

L’interrogation à l’aide du bouton Rechercher les événements associés dans un volet latéral Technique affiche tous les événements liés à la technique identifiée, mais n’inclut pas la technique elle-même dans les résultats de la requête.

Resource Manager client EDR (MsSense.exe)

Lorsque le client EDR sur un appareil manque de ressources, il passe en mode critique pour maintenir le fonctionnement normal de l’appareil. L’appareil ne traite pas les nouveaux événements tant que le client EDR ne revient pas à un état normal. Un nouvel événement s’affiche dans la chronologie de cet appareil, indiquant que le client EDR est passé en mode critique .

Lorsque l’utilisation des ressources du client EDR revient à des niveaux normaux, il revient automatiquement en mode normal.

Marquer les événements pour le suivi

Les indicateurs d’événement dans l’appareil chronologie vous aident à filtrer et à organiser des événements spécifiques lorsque vous examinez des attaques potentielles.

Après avoir parcouru un appareil chronologie, vous pouvez trier, filtrer et exporter les événements spécifiques que vous avez marqués. Vous pouvez définir des indicateurs d’événement en :

  • Mise en surbrillance des événements les plus importants
  • Marquage des événements qui nécessitent une analyse approfondie
  • Création d’un chronologie de violation de propre

Pour marquer un événement :

  1. Recherchez l’événement que vous souhaitez marquer.
  2. Sélectionnez l’icône d’indicateur dans la colonne Indicateur.

Capture d’écran de l’icône d’indicateur chronologie de l’appareil.

Pour afficher les événements marqués d’un indicateur :

  1. Dans la section Filtres chronologie, activez les événements avec indicateur.
  2. Sélectionnez Appliquer. Seuls les événements avec indicateur sont affichés.

Vous pouvez appliquer d’autres filtres en cliquant sur la barre de temps. Cela affiche uniquement les événements antérieurs à l’événement avec indicateur.

Capture d’écran montrant l’indicateur de chronologie de l’appareil avec le filtre activé.

Personnaliser votre chronologie d’appareil

En haut à droite du chronologie de l’appareil, vous pouvez choisir une plage de dates pour limiter le nombre d’événements et de techniques dans le chronologie. Vous pouvez personnaliser les colonnes à exposer et filtrer les événements avec indicateur par type de données ou par groupe d’événements.

Capture d’écran montrant le volet dans lequel vous pouvez personnaliser les colonnes.

Pour afficher uniquement les événements ou les techniques, sélectionnez Filtres dans l’appareil chronologie et choisissez votre type de données préféré à afficher.

Capture d’écran montrant le volet Filtres.

Conservation des données de chronologie

Les événements de chronologie d’appareil dans Microsoft Defender pour point de terminaison sont conservés conformément à la stratégie de rétention des données de l’organization configurée dans le portail de sécurité et aux paramètres de l’espace de travail sous-jacent. Par défaut, les données d’événement de sécurité (y compris les éléments de chronologie d’appareil) dans Defender pour point de terminaison sont conservées pendant 90 jours. Si votre locataire envoie des journaux à un Microsoft Sentinel connecté ou à un espace de travail Log Analytics avec une période de rétention personnalisée, les événements chronologie conservés peuvent être disponibles pour des durées plus longues, comme défini par ces paramètres de rétention.

Importante

La disponibilité des données historiques chronologie dépend de votre configuration de rétention. Si la rétention de 90 jours par défaut est insuffisante pour vos besoins d’investigation ou de conformité, envisagez d’exporter des événements vers un stockage à long terme ou d’augmenter la période de rétention dans l’espace de travail connecté.

Examiner les appareils accessibles sur Internet

Les appareils connectés à Internet peuvent être connectés à l’extérieur ou accessibles de l’extérieur, ce qui constitue une menace importante pour votre organization. Le mappage de la surface d’attaque externe de votre organization est un élément clé de la gestion de la posture de sécurité. Microsoft Defender pour point de terminaison identifie et signale automatiquement les appareils connectés, exposés et connectés à Internet dans le portail Microsoft Defender.

Remarque

Actuellement, seuls les appareils Windows intégrés à Microsoft Defender pour point de terminaison peuvent être identifiés comme étant accessibles sur Internet. La prise en charge d’autres plateformes est disponible dans les prochaines versions.

Comment les appareils sont marqués comme étant accessibles sur Internet

Les appareils qui sont correctement connectés via TCP ou identifiés comme pouvant être accessibles par l’hôte via UDP sont marqués comme étant accessibles sur Internet. Defender pour point de terminaison utilise deux sources de données :

Source de données Description
Analyses externes Identifier les appareils accessibles de l’extérieur
Connexions réseau des appareils Capturés dans le cadre des signaux Defender pour point de terminaison pour identifier les connexions entrantes externes qui atteignent les appareils internes

Les appareils peuvent être marqués lorsqu’une stratégie de pare-feu configurée (règle de pare-feu hôte ou règle de pare-feu d’entreprise) autorise les communications Internet entrantes. Comprendre votre stratégie de pare-feu et distinguer les appareils qui sont intentionnellement accessibles sur Internet de ceux qui peuvent compromettre votre organization fournit des informations critiques pour le mappage de votre surface d’attaque externe.

Afficher les appareils accessibles sur Internet

Pour afficher les appareils accessibles sur Internet dans le portail Microsoft Defender :

  1. Accédez à Ressources>Appareil dans le portail Microsoft Defender.

    Capture d’écran de la balise accessible sur Internet.

  2. Recherchez les appareils avec la balise Accessible sur Internet dans la colonne Étiquettes .

  3. Pointez sur la balise pour voir pourquoi elle a été appliquée :

    • Cet appareil a été détecté par une analyse externe
    • Cet appareil a reçu une communication entrante externe

En haut de la page, vous pouvez afficher un compteur qui indique le nombre d’appareils identifiés comme étant accessibles sur Internet et potentiellement moins sécurisés.

Filtre pour les appareils accessibles sur Internet

Utilisez des filtres pour vous concentrer sur les appareils accessibles sur Internet et examiner le risque qu’ils peuvent introduire :

Capture d’écran du filtre accessible sur Internet.

La balise d’appareil accessible sur Internet apparaît également dans Gestion des vulnérabilités Microsoft Defender, ce qui vous permet de filtrer les appareils accessibles sur Internet à partir des pages de faiblesses et de recommandations de sécurité dans le portail Microsoft Defender.

Capture d’écran des faiblesses d’Internet.

Remarque

Si aucun nouvel événement pour un appareil ne se produit pendant 48 heures, la balise accessible sur Internet est supprimée et elle n’est plus visible dans le portail Microsoft Defender.

Examiner un appareil accessible sur Internet

Pour afficher des informations détaillées sur un appareil accessible sur Internet, sélectionnez-le dans l’inventaire des appareils pour ouvrir son volet volant :

Capture d’écran de la page des détails de l’appareil accessible sur Internet.

Le menu volant inclut :

Informations Description
Méthode de détection Si l’appareil a été détecté par une analyse externe Microsoft ou a reçu une communication entrante externe
Interface réseau externe Adresse IP externe et port analysés lorsque l’appareil a été identifié comme étant accessible sur Internet
Interface réseau locale Adresse et port de l’interface réseau locale pour cet appareil
Dernière vue La dernière fois que l’appareil a été identifié comme étant accessible sur Internet

Utiliser des requêtes de repérage avancées

Utilisez des requêtes de repérage avancées pour obtenir une visibilité et des insights sur les appareils accessibles sur Internet dans votre organization.

Obtenir tous les appareils accessibles sur Internet

Utilisez cette requête pour rechercher tous les appareils accessibles sur Internet :

// Find all devices that are internet-facing
DeviceInfo
| where Timestamp > ago(7d)
| where IsInternetFacing
| extend InternetFacingInfo = AdditionalFields
| extend InternetFacingReason = extractjson("$.InternetFacingReason", InternetFacingInfo, typeof(string)), InternetFacingLocalPort = extractjson("$.InternetFacingLocalPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicPort = extractjson("$.InternetFacingPublicScannedPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicIp = extractjson("$.InternetFacingPublicScannedIp", InternetFacingInfo, typeof(string)), InternetFacingLocalIp = extractjson("$.InternetFacingLocalIp", InternetFacingInfo, typeof(string)),   InternetFacingTransportProtocol=extractjson("$.InternetFacingTransportProtocol", InternetFacingInfo, typeof(string)), InternetFacingLastSeen = extractjson("$.InternetFacingLastSeen", InternetFacingInfo, typeof(datetime))
| summarize arg_max(Timestamp, *) by DeviceId

Cette requête retourne les champs suivants pour chaque appareil accessible sur Internet :

Field Description
InternetFacingReason Si l’appareil a été détecté par une analyse externe ou reçu une communication entrante à partir d’Internet
InternetFacingLocalIp Adresse IP locale de l’interface accessible sur Internet
InternetFacingLocalPort Port local où la communication avec Internet a été observée
InternetFacingPublicScannedIp Adresse IP publique analysée en externe
InternetFacingPublicScannedPort Port accessible sur Internet qui a été analysé en externe
InternetFacingTransportProtocol Protocole de transport utilisé (TCP/UDP)

Obtenir des informations sur les connexions entrantes

Pour les connexions TCP, obtenez des insights sur les applications ou services identifiés comme étant à l’écoute sur un appareil en interrogeant DeviceNetworkEvents.

Scénario Requête Notes
L’appareil a reçu une communication entrante externe InboundExternalNetworkEvents("<DeviceId>") Retourne les 7 derniers jours de communication entrante de l’appareil à partir d’adresses IP publiques. Remplacez par <DeviceId> l’ID d’appareil que vous souhaitez examiner. Les informations relatives au processus sont disponibles uniquement pour les connexions TCP.
Appareil détecté par une analyse externe (TCP) DeviceNetworkEvents
\| where Timestamp > ago(7d)
\| where DeviceId == ""
\| where Protocol == "Tcp"
\| where ActionType == "InboundInternetScanInspected"		 Utilisation pour les appareils marqués avec Cet appareil a été détecté par une analyse externe. Remplacez la valeur vide DeviceId par l’ID d’appareil que vous souhaitez examiner.
Appareil détecté par analyse externe (UDP) DeviceNetworkEvents
\| where Timestamp > ago(7d)
\| where DeviceId == ""
\| where Protocol == "Udp"
\| where ActionType == "InboundInternetScanInspected"		 Identifie les appareils qui étaient accessibles par l’hôte mais qui n’ont peut-être pas établi de connexion (par exemple, à la suite de la stratégie de pare-feu de l’hôte). Remplacez la valeur vide DeviceId par l’ID d’appareil que vous souhaitez examiner.

Si les requêtes ci-dessus ne parviennent pas à fournir les connexions appropriées, vous pouvez utiliser des méthodes de collecte de sockets pour récupérer le processus source. Pour en savoir plus sur les différents outils et fonctionnalités disponibles pour ce faire, consultez :

Imprécision du rapport

Si un appareil contient des informations incorrectes accessibles sur Internet, vous pouvez signaler une inexactitude :

  1. Ouvrez le menu volant de l’appareil à partir de la page Inventaire de l’appareil.
  2. Sélectionnez Signaler l’inexactitude de l’appareil.
  3. Dans la liste déroulante Quelle partie est inexacte , sélectionnez Informations sur l’appareil.
  4. Pour Quelles informations sont inexactes , cochez la case Classification accessible sur Internet dans la liste déroulante.
  5. Renseignez les détails demandés sur les informations correctes.
  6. Fournissez une adresse e-mail (facultatif).
  7. Sélectionnez Envoyer le rapport.
  • Last updated on